xz 开发者植入后门破解 SSH 加密

xz 开发者植入后门破解 SSH 加密 Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门,后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1,后门版本尚未进入 Linux 发行版的生产版本,因此影响范围有限,主要影响的是测试版本的 Debian 和 Red Hat 发行版,以及 Arch 和 openSUSE 等。攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被关闭。来源 , 频道:@kejiqu 群组:@kejiquchat

相关推荐

封面图片

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版 本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问,而且这些受影响的版本已经被多个 Linux 发行版合并,但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题,编号为 ,严重性评分为 10/10 。 xz 是被 Linux 发行版广泛使用的压缩格式之一, xz-utils (LZMA-utils)是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者,也是该项目当前唯一的活跃贡献者。恶意代码经过混淆,只能在完整的下载包中找到,而无法在 Git 发行版中找到,因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ,使攻击者可以使用精心构造的数据跳过 RSA 密钥检验,在未授权情况下授予攻击者不受限制的访问权限。

封面图片

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招 日前该项目被发现存在后门,这些恶意代码旨在允许未经授权的访问,具体来说影响 xz-utils 5.6.0 和 5.6.1 版中,而且这些受影响的版本已经被多个 Linux 发行版合并。简单来说这是一起供应链投毒事件,攻击者通过上游开源项目投毒,最终随着项目集成影响 Linux 发行版,包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。恶意代码的目的:RedHat 经过分析后认为,此次黑客添加的恶意代码会通过 systemd 干扰 sshd 的身份验证,SSH 是远程连接系统的常见协议,而 sshd 是允许访问的服务。在适当的情况下,这种干扰可能会让黑客破坏 sshd 的身份验证并获得整个系统的远程未经授权的访问 (无需 SSH 密码或密钥)。RedHat 确认 Fedora Linux 40/41、Fedora Rawhide 受该问题影响,RHEL 不受影响,其他 Linux 发行版应该也受影响,具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本:如果你使用的 Linux 发行版受上述后门程序影响,RedHat 的建议是无论个人还是商用目的,都应该立即停止使用。之后请查询 Linux 发行版的开发商获取安全建议,包括检查和删除后门程序、回滚或更新 xz-utils 等。孤独的开源贡献者问题:在这里还需要额外讨论一个开源项目的问题,xz-utils 尽管被全世界的 Linux 发行版、压缩软件广泛使用,但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因,在遇到一名新的贡献者时,随着时间的推移,在获取信任后,这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目,知道这种情况下可能更容易获取控制权,于是从 2022 年开始就贡献代码,直到成为主要贡献者后,再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加,这对整个开源社区来说应该都是头疼的问题。 ... PC版: 手机版:

封面图片

XZ 发布 5.6.2 ,已移除先前后门代码

XZ 发布 5.6.2 ,已移除先前后门代码 两个月前,XZ 发布了紧急安全警报,指出 liblzma 中被植入了恶意代码,这是由一名不法分子通过混入 XZ 共同维护团队而添加的后门。XZ 的长期开发者 Lasse Collin 回归并重新掌舵,对之前的 XZ 提交进行了审计,并于今日发布了完全移除了后门的 XZ 5.6.2。 Lasse Collin 今天发布的 XZ 5.6.2 版本,已经清除了之前 v5.6 和 v5.6.1 版本中存在的 CVE-2024-3094 后门。 截至目前 XZ 后门事件仍在调查中 Lasse Collin 还宣布,Sam James 将成为 XZ 项目未来的支持维护者。 XZ 5.6.2 发布版本还包括一些错误修复、对最新 NVIDIA HPC SDK(编译器)的构建修复,以及移除了 GNU 间接函数(IFUNC)支持。IFUNC 支持曾被 XZ 后门利用,但移除此代码的原因是使用它带来的性能提升微乎其微,同时增加了很大的复杂性。今天还发布了包含各种错误修复的 XZ 5.4.7 和 XZ 5.2.13,但只有 XZ 5.6 系列受到了后门事件的影响。 消息来源: Xz项目地址:

封面图片

XZ 5.6.2 释出,移除后门代码

XZ 5.6.2 释出,移除后门代码 (英文) 引发广泛关注的 XZ 后门事件两个月之后,项目维护者 Lasse Collin 释出了新版本 XZ 5.6.2,移除了 v5.6 和 v5.6.1 中的后门代码 CVE-2024-3094。他同时宣布了一位支持维护者 Sam James。对 XZ 后门事件的调查仍然在进行之中。XZ 5.6.2 还修复了一系列 bug,包括修复了用最新 NVIDIA HPC SDK 构建的问题,移除 GNU Indirect Function(IFUNC)支持,XZ 后门代码使用了 IFUNC 支持,但移除主要是因为性能优势太小但复杂性大幅增加。(全文完)

封面图片

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball 中包含了恶意后门代码。 如非特别标注,以下链接中内容均为英文。 ==== XZ 方面的信息,以及漏洞分析 ==== oss-security 邮件列表: debian-security-announce 邮件列表: XZ 主要维护者 Lasse Collin 的声明: FAQ by Sam James: Evan Boehs 的博客: Filippo Valsorda: Gynvael Coldwind: RHEA 关于时区的分析: ==== 新闻报道 ==== LWN: ==== 供应商方面的信息,主要是各大发行版和安全公告板 ==== CVE: NVD: MSRC: GitHub Advisory Database: Red Hat Customer Portal: Red Hat Blog: Red Hat Bugzilla: Debian Security Bug Tracker: Debian Bug: Kali Linux Blog: SUSE blog: SUSE Security: SUSE Bugzilla: openSUSE News: Gentoo's Bugzilla: Arch Linux News: Arch Linux Advisories: OpenWrt: ==== 忙着查资料的被子饼 ==== 目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新 目前确定曾受影响的发行版: Debian unstable/testing/experimental between 2024-02-01 and 2024-03-29 Kali Linux between 2024-03-26 and 2024-03-29 Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29 Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29 openSUSE Tumbleweed/MicroOS between 2024-03-07 and 2024-03-28

封面图片

Linux 内核更新 XZ 补丁移除维护者 Jia Tan

Linux 内核更新 XZ 补丁移除维护者 Jia Tan XZ 项目维护者 Lasse Collin 发布了一组补丁集,更新了内核的 XZ 代码,其中一项变化是将 Jia Tan 移除出维护者名单。Jia Tan aka JiaT75 是臭名昭著的 XZ 后门事件的幕后黑手,这个名字可能是一个伪装,未必是华裔,他或他们在该项目潜伏了三年之久,获取信任之后成为了维护者,然后悄悄植入了后门代码。他或他们的真实身份至今仍然是一个谜。补丁的其它变化包括了许可证从 Public Domain 迁移到 BSD Zero Clause License,更新了文档,新的 ARM64 和 RISC-V 过滤器等等。 via Solidot

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人